Docker笔记

Docker笔记

简介

基于go语言实现

属于操作系统层面的虚拟化技术

由于隔离的进程独立于宿主和其他的隔离的进程，因此也称为容器。

与传统虚拟化方式的区别：

• 传统虚拟化是虚拟出一套硬件后，在其上运行一个完整的操作系统，在该系统上再运行所需应用进程。
• 容器内的应用进程直接运行于宿主机的内核。容器没有自己的内核，而且也没有进行硬件虚拟，更轻便[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PnZhEsmq-1583052766444)(https://yeasy.gitbooks.io/docker_practice/introduction/_images/virtualization.png)]

图 1.4.1.1 - 传统虚拟化

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XOJkjPJd-1583052766447)(https://yeasy.gitbooks.io/docker_practice/introduction/_images/docker.png)]

图 1.4.1.2 - Docker

优点：

• 更高效的利用系统资源

  由于不需要进行硬件虚拟以及运行完整地操作系统等额外开销，docker对系统资源的利用率更高。各种速度更快。

• 更快的启动时间

  由于直接运行于宿主内核，所以无需启动完整的操作系统。

• 一致的运行环境

  docker的镜像提供了除内核外的完整运行环境，确保了应用运行环境一致性，从而避免了【这段代码在我机器上没问题啊】

• 持续交付和部署

  可以通过定制应用镜像来实现持续集成、持续交付、部署，可以通过dockerfile来进行镜像构建，并结合持续集成(Continuous Integration) 系统进行集成测试。而运维人员则可以直接在生产环境中快速部署该镜像甚至结合持续部署系统(Continuous Delivery/Deployment) 进行自动部署

  对比传统虚拟机总结

  特性	容器	虚拟机
  启动	秒级	分钟级
  硬盘使用	一般为 MB	一般为 GB
  性能	接近原生	弱于
  系统支持量	单机支持上千个容器	一般几十个

基本概念

docker镜像

我们都知道，操作系统分为内核和用户空间（并不知道）。对于Linux而言，内核启动后，会挂载root二年级按系统为其提供用户空间支持。而docker镜像（image）就像但与是一个root文件系统。比如官方镜像ubuntu:18.04就包含了完整的一套ubuntu 18.04最小系统的root文件系统（包含系统运行所必须的文件https://blog.csdn.net/xiewenhao12/article/details/52924079）。

docker镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准别的一些配置参数（如匿名卷、环境变量、用户等）。镜像不包含任何动态数据，其内容在构建之后也不会被改变。

分层存储

因为镜像包含操作系统完整的root文件系统，其体积往往是庞大的，因此在docker设计时，就充分利用Union FS 的技术，将其设为分层存储的架构。所以严格来说，镜像并非是像一个ISO那样的打包文件，镜像只是一个虚拟的概念，其实际体现并非有一个文件组成，而是由一组文件系统组成，或者说，由多层文件系统联合组成。

镜像构建时，会一层层构建，前一层是后一层的基础，每一层构建完就不会再发生改变。后一层上的任何改变只发生在自己的这一层。比如，删除前一层的文件的操作，实际并不是针对删除前一层的文件，而是仅在当前层标记该文件已删除。最终容器运行的时候，虽然不会看到这个文件，但是实际上该文件会一直跟随进行。因此在构建镜像时，需额外小心，每一层尽量只包含该层需要添加的东西，任何额外的东西应该在该层构建结束前清理掉。

分层存储的特征还使得镜像的复用、定制变得更加容易。甚至可以用之前创建好的镜像作为基础层，然后进一步添加新的层，以定制自己所需的内容，构建新的镜像。

而容器，就是以镜像为基础层，在其上创建一个当前容器的存储层。

docker容器

镜像（image）和容器（container）的关系，就像是类和实例，镜像是静态的定义，容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。

容器的实质是进程，但与直接在宿主执行的进程不同，容器进程运行于属于自己的独立的命名空间。因此容器可以拥有自己的root文件系统、网络配置、进程空间、甚至用户ID空间。容器内的进程是运行在一个隔离的环境里，使用起来，就好像是在一个独立于宿主的系统下操作一样。因为这种隔离的特性，很多人会混淆容器和虚拟机。

前面讲过镜像使用的是分层存储，容器也是如此。每一个容器运行时，是以镜像为基础层，在其上创建一个当前容器的存储层，我们可以称这个为容器运行时读写而准备的存储层为容器存储层。

容器存储层的生存周期和容器一样，容器消亡时，容器存储层也随之消亡。因此，任何保存于容器存储层的信息都会随容器的删除而丢失。

更具docker最佳实践（什么东西）的要求，容器不应该向其存储层内写入任何数据，容器存储层要保持无状态化。所有的文件写入操作，都应该使用数据卷（volume），或绑定宿主目录，在这些位置的读写会跳过容器存储层，直接对宿主（或网络存储）发生读写，其性能和稳定性更高。

数据卷的生存周期独立于容器，容器消亡，数据卷不会消亡。因此，使用数据卷后，容器删除或重新运行后，数据不会丢失。

docker Registry

镜像构建完成后，可以很容易的在当前宿主机上运行，但是，如果需要在其他服务器上使用这个镜像，我们就需要一个集中的存储、分发镜像的服务，docker registry就是这样的服务。

一个Docker Registry 中可以包含多个仓库（Repository），每个仓库可以包含多个标签（Tag），每个标签对应一个镜像。

通常，一个仓库会包含同一个软件不同版本的镜像，而标签就常用于对应该软件的各个版本。我们可以通过<仓库名>:<标签>的格式来指定具体是这个软件哪个版本的镜像。如果不给标签，将以latest作为默认标签。

以 Ubuntu 镜像 为例，ubuntu 是仓库的名字，其内包含有不同的版本标签，如，16.04, 18.04。我们可以通过 ubuntu:14.04，或者 ubuntu:18.04 来具体指定所需哪个版本的镜像。如果忽略了标签，比如 ubuntu，那将视为 ubuntu:latest。

仓库名经常以两段式路径 出现，如 jwilder/nginx-proxy，前者往往意味着 Docker Registry 多用户环境下的用户名，后者往往是对应的软件名。往往。

docker registry 公开服务

此服务是开放给用户使用、允许用户管理镜像的registry服务。一般这类公开服务允许用户免费上传、下载公开的镜像，并可能提供收费服务供用户管理私有镜像

最常使用的registry公开服务就是官方的Docker Hub（hub.docker.com)，也是默认的registry，除此之外，还有CoreOS的Quay.io，CoreOS相关的镜像存储在这里，Google的Google Container Registry，Kubernetes的镜像使用的就是这个服务。

私有 Docker Registry

除了使用公开服务外，用户还可以在本地搭建私有Docker Registry，Docker官方提供了Docker Registry镜像，可以直接使用作为私有Registry服务。详见https://yeasy.gitbooks.io/docker_practice/repository/registry.html

开源的Docker Registry 镜像只提供了 Docker Registry API 的服务端实现，足以支持docker命令，不影响使用。但不包含图形界面、镜像维护、用户管理、访问控制等高级功能。在官方的商业版本 Docker Trusted Registry 中提供了这些高级功能。

还有第三方软件实现了 Docker Registry API，甚至提供了用户界面以及一些高级功能，如 VMWare Harbor 和 Sonatype Nexus。

安装

docker-ce 社区免费版

docker-ee 企业版 收费

安装必要的系统工具

yum install -y yum-utils device-mapper-persistent-data lvm2

添加软件源

yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

更新yum缓存

yum makecache fast

安装 Docker-ce：

yum -y install docker-ce

RPM安装

在https://download.docker.com/linux/centos/7/x86_64/stable/Packages/下载那四个包

[root@localhost download]# ll
总用量 56220
-rw-rw-r--. 1 sure sure 23217684 3月  28 13:00 containerd.io-1.2.5-3.1.el7.x86_64.rpm
-rw-rw-r--. 1 sure sure 19623520 4月  11 14:50 docker-ce-18.09.5-3.el7.x86_64.rpm
-rw-rw-r--. 1 sure sure 14689524 4月  11 14:50 docker-ce-cli-18.09.5-3.el7.x86_64.rpm
-rw-rw-r--. 1 sure sure    29392 8月  31 2018 docker-ce-selinux-17.03.3.ce-1.el7.noarch.rpm

然后

先安装con…与docker-ce-selinux…

一起安装的话会报错：

docker-ce-selinux conflicts with 2:container-selinux-2.74-1.el7.noarch

然后再安装docker-ce-cli…和docker-ce-18…

报错？

这里，Redhat如果使用原生yum可能会提示找不到包，或者需要container-selinux，

可以：

• 下载container-selinux（2.9版本以上）

  ftp://mirror.switch.ch/pool/4/mirror/scientificlinux/7x/external_products/extras/x86_64/container-selinux-2.9-4.el7.noarch.rpm

  或其他更高版本的rpm包

• 开启yum扩展包

  subscription-manager repos --enable=rhel-7-server-extras-rpms
  

  之后再执行安装，就没问题了

镜像加速

新版的 Docker 使用 /etc/docker/daemon.json（Linux） 或者 %programdata%\docker\config\daemon.json（Windows） 来配置 Daemon

请在该配置文件中加入（没有该文件的话，请先建一个）：

Docker 官方加速器 https://registry.docker-cn.com

网易加速器 http://hub-mirror.c.163.com

七牛云加速器 https://reg-mirror.qiniu.com/]

{
   
  "registry-mirrors": ["http://hub-mirror.c.163.com"]
}

如果没用的话，听说Redhat 7是在/etc/sysconfig/docker 文件里的option选项加入，具体百度。反正我的Redhat7生效了。

windows需要执行：

cd “C\Program Files\Docker\Docker”
./DockerCli.exe -SwitchDaemon

如果这时docker服务已启动，需要重启一下使加速生效删除 Docker CE

systemctl restart docker

卸载

执行以下命令来删除 Docker CE：

$ sudo yum remove docker-ce
$ sudo rm -rf /var/lib/docker

。

启动 Docker 后台服务

systemctl start docker

测试运行 hello-world

[root@runoob ~]# docker run hello-world

docker run = docker create + docker start

安装镜像

docker pull [选项] [Docker Registry 地址[:端口号]/]仓库名[:标签]
如：
docker pull centos

• Docker 镜像仓库地址：地址的格式一般是 <域名/IP>[:端口号]。默认地址是 Docker Hub。
• 仓库名：如之前所说，这里的仓库名是两段式名称，即 <用户名>/<软件名>。对于 Docker Hub，如果不给出用户名，则默认为 library，也就是官方镜像。

或其他镜像，在dockerhub（hub.docker.com）找

上面的命令中没有给出 Docker 镜像仓库地址，因此将会从 Docker Hub 获取镜像。而镜像名称是 ubuntu:18.04，因此将会获取官方镜像 library/ubuntu 仓库中标签为 18.04 的镜像。

从下载过程中可以看到我们之前提及的分层存储的概念，镜像是由多层存储所构成。下载也是一层层的去下载，并非单一文件。下载过程中给出了每一层的 ID 的前 12 位。并且下载结束后，给出该镜像完整的 sha256 的摘要，以确保下载一致性。

在使用上面命令的时候，你可能会发现，你所看到的层 ID 以及 sha256 的摘要和这里的不一样。这是因为官方镜像是一直在维护的，有任何新的 bug，或者版本更新，都会进行修复再以原来的标签发布，这样可以确保任何使用这个标签的用户可以获得更安全、更稳定的镜像。

其实也可以使用的时候等他自己下载镜像

PowerPC 还是arm？

PowerPC性能高功耗小，中高端。

arm性能较高功耗较小性价比高，低端。

如果你无需考虑虚拟机的省电问题，那么就选PowerPC版

基本命令

使用镜像输出Hello World

runoob@runoob:~$ docker run ubuntu:15.10 /bin/echo "Hello world"
Hello world

各个参数解析：

• docker: Docker 的二进制执行文件。

• **run:**与前面的 docker 组合来运行一个容器。

• ubuntu:15.10指定要运行的镜像，Docker首先从本地主机上查找镜像是否存在，如果不存在，Docker 就会从镜像仓库 Docker Hub 下载公共镜像。

  如刚才安装的是centos，就是

  docker run centos /bin/echo "Hello, World"
  

• /bin/echo “Hello world”: 在启动的容器里执行的命令

运行交互式的容器

使用两个参数使docker容器实现“对话”的能力

[root@localhost docker]# docker run -i -t --rm centos /bin/bash
[root@8baabffbc704 /]# 

参数解析：

• -t：在新容器内指定一个伪终端或终端
• -i：允许你对容器内的标准输入（stdin）进行交互
• –rm：这个参数是说容器退出后随之将其删除。默认情况下，为了排障需求，退出的容器并不会立即删除，除非手动 docker rm。我们这里只是随便执行个命令，看看结果，不需要排障和保留结果，因此使用 --rm 可以避免浪费空间。

示例：查看镜像的系统信息：

root@e7009c6ce357:/# cat /etc/os-release

使用exit或CTRL+D来退出容器

启动容器（后台模式）

创建一个以进程方式运行的容器：

runoob@runoob:~$ docker run -d ubuntu:15.10 /bin/sh -c "while true; do echo hello world; sleep 1; done"

它并没有直接输出hello world，而是给了一个字符串，这个叫做容器ID，对每个容器来说都是唯一的。可以通过容器ID来查看对应的容器内发生了什么。

首先要确认容器有在运行：

[root@localhost docker]# docker ps
CONTAINER ID   IMAGE    COMMAND                  CREATED             STATUS              PORTS               NAMES
9f99ed03bf92   centos    "/bin/sh -c 'while t…"   2 minutes ago       Up 2 minutes                            competent_mayer

docker ps -a 查看所有已创建的容器，包括没有在运行的

查看容器内的标准输出：

docker logs 容器ID/容器NAMES
e.g.:
docker logs 9f99ed03bf92
docker logs competent_mayer

停止容器

docker stop 容器ID/容器NAMES

运行一个WEB应用

使用docker构建一个web应用程序

在docker容器中运行一个Python Flask 应用来运行一个web应用

docker pull training/webapp
docker run -d -P training/webapp python app.py

参数说明：

• -d：让容器后台运行
• -P：将容器内部使用的网络端口映射到我们使用的主机上

使用docker ps来查看正在运行的容器

runoob@runoob:~#  docker ps
CONTAINER ID        IMAGE               COMMAND             ...        PORTS                 
d3d5e39ed9d3        training/webapp     "python app.py"     ...        0.0.0.0:32769->5000/tcp

这里多了端口信息

PORTS
0.0.0.0:32769->5000/tcp

docker开放了5000端口（默认Python Flask端口）映射到主机端口32769上，这时就可以在宿主机浏览器访问web应用（或在其他可访问宿主机的机器上通过IP地址等访问）

也可以使用**-p** 参数来设置端口

docker run -d -p 5000:5000 training/webapp python app.py

查看

runoob@runoob:~#  docker ps
CONTAINER ID        IMAGE                             PORTS                     NAMES
bf08b7f2cd89        training/webapp     ...        0.0.0.0:5000->5000/tcp    wizardly_chandrasekhar
d3d5e39ed9d3        training/webapp     ...        0.0.0.0:32769->5000/tcp   xenodochial_hoov

容器内部的5000端口呗映射到本地主机的5000端口上

也可以通过

docker port 容器ID/容器NAMES

直接查看容器的某个确定端口映射到宿主机的端口号。

runoob@runoob:~$ docker port bf08b7f2cd89
5000/tcp -> 0.0.0.0:5000

通过

runoob@runoob:~$ docker logs -f bf08b7f2cd89
 * Running on http://0.0.0.0:5000/ (Press CTRL+C to quit)
192.168.239.1 - - [09/May/2016 16:30:37] "GET / HTTP/1.1" 200 -
192.168.239.1 - - [09/May/2016 16:30:37] "GET /favicon.ico HTTP/1.1" 404 -

选项**-f让docker logs像使用tail -f**一样来输出容器内部的标准输出

可以看出应用使用的是5000端口并且可以看到应用的访问日志

查看web应用容器的进程

使用docker top 来查看容器内部运行的进程

runoob@runoob:~$ docker top wizardly_chandrasekhar
UID     PID         PPID          ...       TIME                CMD
root    23245       23228         ...       00:00:00            python app.py

检查web应用

使用docker inspect 来查看docker的底层信息。他会返回一个json文件记录着docker容器的配置和状态信息。

runoob@runoob:~$ docker inspect wizardly_chandrasekhar
[
    {
   
        "Id": "bf08b7f2cd897b5964943134aa6d373e355c286db9b9885b1f60b6e8f82b2b85",
        "Created": "2018-09-17T01:41:26.174228707Z",
        "Path": "python",
        "Args": [
            "app.py"
        ],
        "State": {
   
            "Status": "running",
            "Running": true,
            "Paused": false,
            "Restarting": false,
            "OOMKilled": false,
            "Dead": false,
            "Pid": 23245,
            "ExitCode": 0,
            "Error": "",
            "StartedAt": "201